Cisco Threat Hunting — найти и обезвредить

cd7d03f4b07aed26924b8f60668926d1.jpg

Оборудование тормозит, пропускной способности сети не хватает для работы легитимных приложений, ночью сама собой включается техника — все это может быть свидетельством наличия вредоносного ПО в инфраструктуре, от криптомайнера до опасного вируса. Какие шаги предпринять и как быстро и эффективно разобраться в проблемах?

Не так давно компания Cisco выпустила гид Hunting for Hidden Threats с описанием подхода к поиску вредоносной активности в вашей инфраструктуре. Какие шаги выделены основными:
  • поиск аномалий в поведении устройств, в журнале событий, сетевом трафике  и т.д.
  • анализ аномалий и журналов событий и поиск конкретных источников аномалий, выделение вредоносных действий,
  • получение индикаторов компрометации (ioc) и проверка остальной инфраструктуры на присутствие этих активностей.
Для автоматизации указанных действий компания Cisco выпустила бесплатную утилиту Cisco Threat Response. Она доступна всем владельцам одного из решений Cisco: AMP for Endpoints, Threat Grid, Umbrella, Email Security и NGFW/NGIPS. Пример работы с утилитой описал Алексей Лукацкий в статье .

Исследователи Cisco рекомендует отслеживать новости отрасли информационной безопасности в части эпидемий вредоносного ПО и уязвимостей. А эксперты группы компаний Angara готовы помочь вам в этом новостными публикациями.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group